WinRoute FireWall

         

Иллюстрация



Иллюстрация





Иллюстрация

Примечание:
Номера портов в пакетах, пересылаемых через WinRoute должны изменяться, поскольку если две или более станций в защищенной ЛВС начинают передавать данные, используя одинаковые номера портов, появляется необходимость идентифицировать, с какой именно станции пришел данный пакет. Модуль NAT назначает номера портов в диапазоне от 61000 до 61600. Для каждой транзакции назначается уникальный порт.


Иллюстрация

Settings =>Interface Table =>NAT
  • "Осуществлять NAT используя IP- адрес этого интерфейса для всех транзакций"
  • "Perform NAT with the IP address of this interface on all communication passing through" Эта опция включает NAT. NAT будет обрабатывать все пакеты, проходящие через интерфейс.
  • "Исключить этот компьютер из NAT"
  • "Exclude this computer from NAT" Эта опция управляет работой NAT с компьютером, на котором установлен WinRoute. Если вы включите эту опцию, NAT не будет обслуживать этот компьютер и, следовательно, он не будет защищен. Вообще-то, мы не рекомендуем включать эту опцию. Используйте ее только если вы используете серверное приложение, которое должно быть доступно из интернет и не должно работать внутри ЛВС (используя port mapping).



Иллюстрация




Иллюстрация




Иллюстрация

Следующая информация используется при настройке правил фильтрации для заголовков соответствующих протоколов (сетевых уровней):




IP (Интернет-протокол)(Уровень Internet)
IP - базовый протокол передачи данных высшего уровня.
Для фильтрации может использоваться следующая информация:
  • IP-адрес источника
  • IP-адрес приемника
  • тип протокола высокого уровня (TCP, UDP, ICMP)
  • поле опций IP
Формат IP-пакета показан ниже. Серым цветом отмечены поля, используемые для фильтрации пакетов.


Иллюстрация

Протокол ICMP(Уровень Internet)
Протокол контрольных сообщений Интернет ( Internet Control Message Protocol) используется для пересылки между компьютерами сообщений об ошибках и контрольных сообщений.
Для фильтрации может использоваться следующая информация:
  • Тип сообщения ICMP
Формат пакета ICMP показан ниже. Серым цветом отмечены поля, используемые для фильтрации пакетов.


Иллюстрация

Протокол TCP(транспортный уровень)
Протокол управления передачей (Transmission Control Protocol) используется для надежной передачи данных между двумя компьютерами. Компьютеры обмениваются данными, используя "соединение". Установка соединения, передача данных и закрытие соединения управляется специальными влагами в TCP-заголовке пакета. Флаг, управляющий открытием соединения очень важен для фильтрации пакетов, так как данные могут быть переданы только после установки соединения
Для фильтрации используется следующая информация:
  • порт источника
  • порт приемника
  • флаги
Формат пакета TCP показан ниже. Серым цветом отмечены поля, используемые для фильтрации пакетов.


Иллюстрация

Протокол UDP(транспортный уровень)
Протокол датаграммы пользователя ( User Datagram Protocol) работает на уровне приложения и предлагает ненадежную передачу данных на основе датаграмм. В отличие от TCP, UDP не устанавливает соединения между двумя компьютерами и пакеты могут быть посланы на любой IP-адрес и любой порт.
Для фильтрации может использоваться следующая информация:
  • порт источника
  • порт приемника
Формат пакета TCP показан ниже. Серым цветом отмечены поля, используемые для фильтрации пакетов.


Иллюстрация




Иллюстрация




Иллюстрация




Иллюстрация

Фильтрация пакетов может быть настроена в следующем меню: Settings =>Advanced =>Packet Filter =>Add/Edit
  • "Protocol"
    Сетевой протокол. Возможные значения: IP, TCP, UDP, ICMP, PPTP.
  • "Source" (источник), "Destination" (приемник)
    Определяет адреса источника и приемника. Можно ввести одиночный адрес или группу адресов, определяемых сетевой маской или интервалом адресов. Также может быть использована поименованная группа адресов.
    Также можно указать вх./исх. порты для протоколов TCP и UDP.
  • "ICMP type" (Тип ICMP(только с ICMP))
    Используется для определения особого типа сообщения ICMP.
  • "TCP flags" (Флаги TCP(только с TCP))
    Возможно указать следующее: "Only established TCP connections" ("Только установленное соединение TCP"): правило применяется, если пакет не создает нового соединения TCP, т.е. в нем не установлен флаг SYN.
    "Only establishing TCP connections" ("Только при установке соединения TCP"): правило применяется при попытке создания пакетом соединения TCP, т.е. в нем установлен флаг SYN.
  • "Action" ("Действие")
    Если это правило приложимо к пакету, производятся следующие действия: Permit (разрешить) - пакет пропускается в защищенную ЛВС
    Drop (сбросить) - пакет отменяется
    Deny (запретить) - прохождение пакета блокируется

    Если пакет запрещен, его источнику отсылается уведомление (сообщения "TCP reset" или "ICMP port unreachable")
  • "Log Packet" "Запись лога пакета"
    При употреблении этого правила записывается информация о пакете. Запись производится либо в окно WinRoute, либо в файл.
  • "Valid at" "Разрешен с...до..."
    Определяет период времени, в течении которого работает правило. Вы можете включить выполнение правила постоянно.



Иллюстрация

Правила настройки таковы:
  • Интерфейс NE20002 принимает пакеты с адресами источника из сетей 1 и 2.
  • Интерфейс EL90X1 принимает пакеты с адресами источника из сети 3.
  • Интерфейс line0 принимает пакеты с любыми адресами, за исключением таковых из сетей 1, 2 и 3.
Диалоговые окна настройки:


Иллюстрация




Иллюстрация


Содержание раздела